Вредоносные конфигурации VPN клиентов

Каждый час приближает нас к использованию альтернативных фишинговых нагрузок взамен привычным макросам. Выходили исследования про LNK, ZIP, RAR, REG, MSIX и множеству других файловых форматов, каждый из которых предлагал новый оригинальный способ получения заветного шелла. Этим все не ограничилось, и не так давно стала популярна тема вредоносных VPN-конфигураций или даже полноценных VPN-серверов, как продемонстрировал нам NachoVPN.

Однако инструмент направлен на серьезные коммерческие VPN-решения: Cisco, SonicWall, PaloAlto, PulseSecure. Они удобны, но возможность их покупки несколько ограничена в последнее время)))) Поэтому в инфраструктуре встречаются WireGuard и OpenVPN. Как можно атаковать их?

Для OpenVPN существуют ключевые слова up и down, которые позволяют исполнять команду при поднятии и выключении интерфейса соответственно. Для WireGuard аналогично — PostUp / PostDown. На фотографиях доказательство успешной эксплуатации, а здесь можно найти примеры конфигурационных файлов.

При проверке файла можно заметить подобные строки (скрин кода), из-за чего, скорее всего, будет происходить детектирование.
Мой случай на 2 скрине.

Потратил еще время и нашел такое:

https://www.cs.ru.nl/bachelors-theses/2023/Jorn_Heibrink___1040183___Antivirus_and_EDR_bypasses_for_initial_access.pdf

Обновление для первой записи...